Administración del acceso a los recursos - AWS Control Tower
Acerca de las políticas basadas en identidades (políticas de IAM)Políticas basadas en recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se explica el uso de IAM en el contexto de AWS Control Tower. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas de IAM de AWS en la Guía del usuario de IAM.

Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en identidades (políticas de IAM). Las políticas que se adjuntan a un recurso se denominan políticas basadas en recursos.

nota

AWS Control Tower solo admite políticas basadas en identidades (políticas de IAM).

Temas

Acerca de las políticas basadas en identidades (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

  • Asociar una política de permisos a un usuario o un grupo de su cuenta: para conceder a un usuario permisos para crear un recurso de AWS Control Tower, como la configuración de una zona de aterrizaje, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.

  • Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de una AWS cuenta (cuenta A) puede crear un rol que conceda permisos entre cuentas a otra AWS cuenta (cuenta B), o el administrador puede crear un rol que conceda permisos a otro AWS servicio.

    1. El administrador de la cuenta A crea un rol de IAM y asocia una política de permisos al rol que concede permisos para administrar los recursos de la cuenta A.

    2. El administrador de la cuenta A asocia una política de confianza al rol. La política identifica la cuenta B como la entidad principal, que puede asumir el rol.

    3. Como entidad principal, el administrador de la cuenta B puede conceder permiso a cualquier usuario de la cuenta B para que asuma el rol. Al asumir el rol, los usuarios de la cuenta B pueden crear recursos de la cuenta A u obtener acceso a ellos.

    4. Para conceder a un AWS servicio la capacidad (permisos) de asumir el rol, el principal que especifiques en la política de confianza puede ser un AWS servicio.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. AWS Control Tower no admite políticas basadas en recursos.